Ia

Pesquisadores da Praetorian alertam sobre a técnica de evasão conhecida como Chamadas Fantasmas, que explora plataformas de videoconferência como Microsoft Teams e Zoom para realizar ataques de comando e controle sem detecção. Ao sequestrar credenciais temporárias TURN, os cibercriminosos conseguem estabelecer túneis entre o host comprometido e suas máquinas, utilizando a infraestrutura confiável dessas plataformas para mascarar suas atividades maliciosas. Este método de ataque é particularmente preocupante, pois aproveita a infraestrutura já permitida por firewalls corporativos, proxies e inspeção TLS, tornando-se invisível para as defesas tradicionais.A técnica de Chamadas Fantasmas não depende de vulnerabilidades específicas a serem corrigidas, mas sim da implementação de salvaguardas adicionais por parte dos fornecedores para prevenir tais ataques. A natureza criptografada e ofuscada do tráfego de videoconferência, muitas vezes protegido por AES ou outras criptografias fortes, dificulta ainda mais a detecção de atividades maliciosas. Com credenciais TURN expirando em dois a três dias, os túneis são de curta duração, mas a ameaça permanece significativa, exigindo atenção urgente das organizações para mitigar riscos de exfiltração de dados e outras consequências graves.

A Microsoft lançou o Gaming Copilot, um assistente de inteligência artificial para jogadores, na Game Bar do Windows 11, atualmente em fase de testes beta. Embora a ferramenta prometa ajudar jogadores a superar desafios em jogos sem a necessidade de alternar para um navegador, surgem preocupações sobre a privacidade dos usuários, já que a IA monitora a atividade de jogo para oferecer assistência. Além disso, há receios sobre o impacto no desempenho e na vida útil da bateria de dispositivos portáteis de jogos, uma vez que o recurso adiciona uma carga extra ao sistema durante o jogo.

Uma vulnerabilidade significativa de HTTP Request Smuggling, identificada como CVE-2025-32094, foi descoberta na plataforma Akamai em março de 2025. Esta falha, que envolvia solicitações OPTIONS combinadas com técnicas obsoletas de quebra de linha, foi completamente resolvida pela Akamai, sem evidências de exploração bem-sucedida. A vulnerabilidade surgiu de uma interação complexa entre dois defeitos específicos na implementação do sistema de processamento de solicitações HTTP/1.x da Akamai, permitindo que atacantes introduzissem solicitações maliciosas ocultas no corpo da solicitação e potencialmente burlassem controles de segurança.A resposta coordenada da Akamai à CVE-2025-32094 exemplifica práticas eficazes de gerenciamento de vulnerabilidades na indústria de cibersegurança. Após receber o relatório do programa de recompensas por bugs, a empresa implementou uma correção em toda a plataforma, protegendo todos os clientes e mantendo uma comunicação transparente por meio de atualizações regulares. A linha do tempo de divulgação foi coordenada com a apresentação de pesquisa de James Kettle na Black Hat 2025, permitindo uma conscientização pública abrangente sobre a metodologia de ataque.

Pesquisadores de cibersegurança identificaram 11 pacotes maliciosos desenvolvidos em Go que representam uma ameaça significativa para sistemas Windows e Linux. Esses pacotes são projetados para baixar cargas adicionais de servidores remotos e executá-las silenciosamente, comprometendo a segurança dos sistemas. A técnica utilizada pelos cibercriminosos envolve a execução de um shell que busca cargas de segundo estágio de endpoints de comando e controle, permitindo a coleta de informações do host e o acesso a dados de navegadores web. A natureza descentralizada do ecossistema Go facilita a importação direta de módulos de repositórios GitHub, aumentando o risco de desenvolvedores integrarem código malicioso inadvertidamente em seus projetos.A descoberta destaca os riscos contínuos à cadeia de suprimentos, exacerbados pela natureza multiplataforma do Go, que facilita a propagação de malware. A confusão gerada por nomes de módulos semelhantes, mas não necessariamente maliciosos, é explorada por atacantes para aumentar a probabilidade de integração de código destrutivo. A situação é agravada pela reutilização de servidores de comando e controle, sugerindo a ação de um único ator de ameaça. É crucial que desenvolvedores e organizações adotem medidas preventivas rigorosas para mitigar esses riscos e proteger seus ambientes de desenvolvimento e produção.

Pesquisadores de cibersegurança revelaram um ataque sofisticado chamado TARA (Targeted Promptware Attack) que compromete assistentes alimentados pelo Gemini do Google através de convites de e-mail e eventos de calendário aparentemente inocentes. Liderados pelo renomado especialista em segurança Ben Nassi, da Universidade de Tel-Aviv, o estudo demonstra como cibercriminosos podem manipular sistemas de IA para realizar ações maliciosas, desde roubo de dados até o controle de dispositivos domésticos inteligentes, representando uma ameaça crescente à segurança digital e física dos usuários.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza plataformas de conferência web para estabelecer canais de comando e controle (C2) ocultos. Esta abordagem permite que cibercriminosos disfarcem tráfego malicioso como reuniões online legítimas, potencialmente burlando medidas tradicionais de segurança de rede. A técnica, apresentada na Black Hat USA 2025, destaca como protocolos de comunicação em tempo real podem ser explorados para criar sessões C2 interativas de alta largura de banda, que se misturam de forma indistinguível com o tráfego de colaboração empresarial normal.

Pesquisador de segurança Dirk-Jan Mollema, da Outsider Security, revelou técnicas avançadas de movimento lateral que permitem a atores de ameaça comprometer a infraestrutura de nuvem da Microsoft através de vulnerabilidades no Active Directory local. Durante sua apresentação na Black Hat USA 2025, Mollema destacou lacunas críticas de segurança em ambientes híbridos de AD que podem permitir que atacantes contornem a autenticação multifator e exfiltrem dados sensíveis sem detecção, explorando relações de confiança entre domínios locais e recursos na nuvem.

A Microsoft divulgou um alerta sobre uma vulnerabilidade de alta gravidade, identificada como CVE-2025-53786, que afeta versões on-premise do Exchange Server. Essa falha, com um CVSS de 8.0, pode permitir que um atacante, já com acesso administrativo, escale privilégios dentro do ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis. A ameaça é particularmente preocupante em implantações híbridas, onde o Exchange Server e o Exchange Online compartilham o mesmo serviço principal, aumentando o risco de comprometimento da integridade de identidade do serviço Exchange Online se não corrigida.A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) destacou a importância de aplicar correções, como o Hot Fix de abril de 2025, e revisar as configurações de segurança para implantações híbridas. A Microsoft também anunciou medidas temporárias para bloquear o tráfego de Exchange Web Services (EWS) usando o serviço principal compartilhado, visando melhorar a segurança do ambiente híbrido. Organizações são instadas a atualizar suas configurações e descontinuar o uso de servidores Exchange ou SharePoint que atingiram o fim de vida ou serviço, para mitigar riscos adicionais de exploração por atores maliciosos.

Em 2025, os ataques na nuvem estão evoluindo em uma velocidade alarmante, com a inteligência artificial (IA) sendo utilizada tanto como arma quanto como escudo. A recente evolução dos ataques, como a campanha CRYSTALRAY, demonstra um nível de coordenação e rapidez que seria impossível sem a automação. Esses ataques, que incluem reconhecimento, movimento lateral e coleta de credenciais, representam uma ameaça crescente para as empresas que dependem de soluções em nuvem. As equipes de segurança estão sendo desafiadas a adotar defesas em tempo real e contextualmente conscientes para enfrentar essas ameaças que operam em velocidades de máquina.Por outro lado, a própria IA se tornou um alvo crítico, necessitando de proteção robusta. O aumento de 500% nas cargas de trabalho em nuvem contendo pacotes de IA/ML em 2024 destaca a adoção massiva dessas tecnologias, mas também expõe novas superfícies de ataque. Para mitigar esses riscos, é essencial implementar medidas de segurança como a autenticação de APIs, endurecimento de configurações e a aplicação do princípio de menor privilégio. A segurança na nuvem deve evoluir para ser tão ágil quanto as ameaças que enfrenta, garantindo que as joias digitais da era da IA sejam devidamente protegidas contra cibercriminosos cada vez mais sofisticados.

A SonicWall revelou que o recente aumento de atividades maliciosas direcionadas aos seus firewalls Gen 7 e mais recentes, com SSL VPN habilitado, está relacionado a uma vulnerabilidade antiga, agora corrigida, e ao uso repetido de senhas. A vulnerabilidade, identificada como CVE-2024-40766, foi divulgada pela primeira vez em agosto de 2024 e possui um escore CVSS de 9.3, indicando um risco elevado de acesso não autorizado aos dispositivos. A empresa está investigando menos de 40 incidentes relacionados a essa atividade, muitos dos quais estão associados a migrações de firewalls Gen 6 para Gen 7 sem redefinição das senhas dos usuários locais, uma ação recomendada crucial.Para mitigar os riscos, a SonicWall recomenda a atualização do firmware para a versão SonicOS 7.3.0, redefinição de todas as senhas de contas de usuários locais com acesso SSLVPN, habilitação de proteção contra botnets e filtragem Geo-IP, além da implementação de autenticação multifator e políticas de senhas fortes. Este desenvolvimento ocorre em meio a um aumento nos ataques que exploram dispositivos SonicWall SSL VPN para ataques de ransomware Akira, destacando a necessidade urgente de medidas preventivas robustas para proteger as infraestruturas de rede.

A NVIDIA emitiu uma declaração enfática rejeitando a inclusão de backdoors e kill switches em seus hardwares de GPU, destacando que tais características comprometeriam gravemente a infraestrutura de cibersegurança global. A empresa argumenta que a introdução de vulnerabilidades embutidas nos componentes críticos de computação representa uma ameaça perigosa, criando vetores de ataque permanentes que poderiam ser explorados por atores maliciosos. Essa posição surge em meio a discussões políticas crescentes sobre mecanismos de controle remoto em hardwares essenciais, com a NVIDIA defendendo que tais propostas são um desvio perigoso dos princípios de segurança estabelecidos.A empresa enfatiza a importância do princípio de ‘defesa em profundidade’, que busca eliminar vulnerabilidades de ponto único através de uma abordagem de segurança em camadas. A introdução de vulnerabilidades deliberadas em hardwares críticos, como GPUs, comprometeria não apenas sistemas individuais, mas também ecossistemas tecnológicos inteiros que dependem de computação acelerada por GPU. A NVIDIA defende soluções de software transparentes e ferramentas de monitoramento que aumentem a segurança do sistema sem comprometer a integridade do hardware, rejeitando comparações com funcionalidades de smartphones que operam com o consentimento do usuário.

Os ataques à cadeia de suprimentos envolvendo pacotes Python estão se tornando uma ameaça alarmante e crescente em 2025. Criminosos cibernéticos estão explorando vulnerabilidades em repositórios de código aberto, como o Python Package Index (PyPI), para introduzir pacotes maliciosos que passam despercebidos até causarem danos significativos. Um exemplo grave ocorreu em dezembro de 2024, quando o pacote Ultralytics YOLO, amplamente utilizado em aplicações de visão computacional, foi comprometido e baixado milhares de vezes antes de ser detectado. Este cenário destaca a urgência de tratar a segurança da cadeia de suprimentos Python como uma prioridade crítica.Os métodos utilizados pelos atacantes incluem técnicas como typo-squatting, repo-jacking e slop-squatting, que exploram falhas na gestão de pacotes e repositórios. Além disso, até mesmo imagens oficiais do contêiner Python contêm vulnerabilidades críticas, com mais de 100 CVEs de alta gravidade identificados. Para mitigar esses riscos, é essencial que desenvolvedores e engenheiros de segurança adotem ferramentas e práticas robustas, como pip-audit, Sigstore e SBOMs, para garantir a integridade do código e proteger suas aplicações contra essas ameaças sofisticadas e em rápida evolução.